（免责声明：我不是律师；不要在家里尝试。）

美国政府确实为希望使用云服务的政府机构制定了非常具体的指导方针。这些云服务必须经过FedRAMP认证。这是一个艰巨、漫长、昂贵的过程……而且它专门针对云服务，而不是托管或共享托管。

根据 2011 年 12 月 8 日发布的 OMB 备忘录，到 2014 年，由多个办公室或机构利用的所有低影响和中等影响的云服务必须符合 FedRAMP 要求。

FedRAMP在这里规定了一堆安全控制和配置基线。

FIPS（140 和其他）和 FedRAMP 不是一回事。FIPS 140 更加具体，详细说明了使用加密模块的要求、允许使用哪些对称算法、允许使用哪些散列算法等。以符合 FIPS 的方式使用其他供应商的加密模块与拥有 FIPS 不同认证的解决方案。FIPS 认证（加密模块验证程序）也是一个漫长且非常昂贵的过程，您必须将您的加密模块（无论是物理硬件安全模块，还是诸如 DLL 文件之类的软件模块）提交给政府以供他们审查它并批准它。加密模块不能通过 FIPS 认证，即使它生成与 FIPS 认证模块相同的数据，除非它通过了 CMVP。然而，

FedRAMP 是关于认证您的整个云解决方案，它的范围比一个应用程序要大得多。FedRAMP 涵盖了从数据中心的物理安全性到灾难恢复计划、解决方案的文档化程度、执行定期漏洞扫描的方式以及检查环境中的每个操作系统、应用程序和服务器的方方面面。

如果您查看 FedRAMP 认证计划中规定的安全控制，它确实多次提到 FIPS。在 FedRAMP 可认证的解决方案中，必须以符合 FIPS 的方式使用密码术。

1. 可以在云中托管符合 FIPS 1 级的应用程序吗？2级怎么样？

好的，可以。对于美国政府机构来说，FIPS 总是可以的（而且通常还需要）。以我的经验，FedRAMP 对 FIPS 1 级和 2 级等不是很挑剔，只有 FIPS 级别——在任何使用密码学的地方都会使用一些东西。

如果您的解决方案全是软件，我认为您要做的最好的是 FIPS 140 1 级，因为 2 级及以上的要求需要物理防篡改、防篡改和其他物理安全措施（例如您提到的 PCB 涂层,) 纯软件解决方案永远无法满足这些要求。验证到 2 级或更高级别的模块类似于具有物理属性的智能卡或硬件安全模块。

2. 如果#1 是，云主机是否需要特定的要求/认证？

FedRAMP 以及可能的其他服务，例如 FISMA，具体取决于哪些政府机构希望从您那里购买服务。

4. 只是想验证我的假设：可以在 1 级的正常设施中搭配，对吗？如果不是，房东需要什么要求/认证？2级呢？

任何基线中都没有明确禁止托管和共享托管的条款，但是，根据我的经验，您需要展示基于角色的访问控制和敏感帐户管理的有力证据，特别是在能够禁止非美国公民访问系统，甚至阻止出国旅行的美国公民访问系统。这可能会隐含地取消大多数托管实例的资格，因为我无法保证您旁边的数据中心笼子不会被俄罗斯间谍等出租。

云托管只是与虚拟机共享托管。它没有什么特别独特或神奇的地方。您可以简单地将“共享托管”的概念替换为“云托管”并在那里计算出细节。

通常，您无法自行检查托管服务提供商的设置，因此您必须依赖他们的认证或合规性声明。如果他们不提供，那么您必须假设他们不合规，因为您无法证明其他情况。

亚马逊为符合 ITAR 的应用程序提供了一种称为隔离 GovCloud的东西，他们声称这些应用程序提供了符合 FIPS 140-2 的端点，但从我粗略的看，我没有看到他们声称提供的级别。在这一点上您是否信任他们将必须由您决定。

即使公司声称他们提供的端点是合规的，但您不对端点进行物理控制这一事实确实会让人对合规性产生一定的怀疑：如果环境最终不合规，谁来承担责任？您还是托管公司？如果您的律师对公司索赔的表面价值感到满意，那么您可以继续进行。否则，您必须在可以自行验证合规性的地方进行托管。